LINUX.ORG.RU
ФорумAdmin

Вы используете какие-либо IDS/IPS? Жду кулстори или критики.

 ,


0

4

Насколько я понимаю, на текущий момент свободных IDS/IPS решений всего два:
1. Snort (больше ориентирован на сеть, т.е. основная работа через прослушку трафика)
2. Suricata (больше ориентировать на локал хост, т.е. больше внимания уделено не сетевым угрозам, а атакам на хост)

Прошу исправить, если не прав. Жду кулстори внедрения, кулстори защиты от хацкеров/инсайдеров, а также название других развитых IPS/IDS.

Что ты понимаешь под «свободными»? Построенные с использованием СПО?

У нас стоит Stonagate IPS-1030. Кулстори внедрения не будет, т.к. оно происходило еще до меня. Нареканий в работе нет, правда, большая часть дропнутых сессий идет мимо лога, иначе у нас логово сломается, т.к. сканирования портов/брутфорс ssh идет по инету постоянно.

ЗЫ Посмотри еще на Fortigate, они, вроде как, тоже вкусные. Если у вас есть какие-то заморочки по комплайенсу - тоже будет хорошо. ЕМНИП, fw у них уже сертифицированный, сейчас пытаются получить сертификат для IPS и VPN-решений.

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Ну проприетарщина не интересна. :) Особенно, учитывая, что это будет эксплуатироваться лично. Бекдоры от АНБ не нужны. :)

ktulhu666 ☆☆☆ ()
Ответ на: комментарий от ktulhu666

Бекдоры от АНБ не нужны. :)

А вокруг Солнца летает чайник Рассела, да-да.

Ну проприетарщина не интересна

Чем плоха проприетарщина, если она выполняет свои функции, и делает это хорошо?

Особенно, учитывая, что это будет эксплуатироваться лично

Для этих целей лучше бабу :)

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Для этих целей лучше бабу :)

Баба может разносить малварь. Использовать её без файера не стоит, да и вообще стоит подумать, зачем тебе нужен нужен гвоздомет, если нужно один раз в день быстро забить один гвоздь.

А вокруг Солнца летает чайник Рассела, да-да.

А вокруг MS летают агенты АНБ со Сноуденом.

Чем плоха проприетарщина, если она выполняет свои функции, и делает это хорошо?

Тем, чтобы ты её пихаешь (интегрируешь) во всю инфраструктуру, выставляя голой жопой в Инет. При этом не можешь сказать, что там нет бекдоров или просто проблем переполнения буфера.Сколько внешних компаний у данного решения провели не формальный удит кода? Компании в США не считаются.

ktulhu666 ☆☆☆ ()
Ответ на: комментарий от Umberto

Ну OSSEC HIDS и ханипуты - это единственно интересно. Остальное - это морды или старый шлак.

ktulhu666 ☆☆☆ ()

У нас чувак как-то запускал snort. Я набрал что-то вроде ping -f на эту тачку и она отвалилась от сети т.к. у snort не успевал. А потом начали постоянно находить уязвимости в этом snort. В общем, нахрен такое счастье надо... Но военным нравится.

Моё мнение — в первую очередь о безопасности надо беспокоиться на уровне приложения, а не надеятся что кто-то закроет твои дыры на уровне snort.

true_admin ★★★★★ ()
Ответ на: комментарий от ktulhu666

Остальное - это морды или старый шлак.

Core Impact, Nessus, OpenVAS старьё? Лечись.

Umberto ★☆ ()
Ответ на: комментарий от ktulhu666

Баба может разносить малварь

Так попроси справку от Касперского, что ты, как маленький...

А вокруг MS летают агенты АНБ со Сноуденом.

Сноуден - ну 4.3 же! Да и потом - кто хоть слово сказал про MS?

Я даже занудничать не буду на тему фактов наличия/отсутствия бекдоров в продуктах MS/Oracle и т.д. - уже не интересно.

Сколько внешних компаний у данного решения провели не формальный удит кода? Компании в США не считаются.

Сколько внешних компаний производит аудит кода open-source продуктов и где можно ознакомиться с результатами аудита?

Если же говорить об эффективности тех или иных решений, то - Gartner, Virustotal.

CaveRat ★★ ()
Ответ на: комментарий от true_admin

Собственно, да. Если у тебя нет дырявых сервисов, которые торчат наружу - особой пользы от IPS не будет.

Увы, далеко не всегда это возможно.

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Сноуден - ну 4.3 же! Да и потом - кто хоть слово сказал про MS?

Вообще-то достоверно известно, что они сливают инфу по незакрытым уязвимостям (возможно, что и не все закрывают) в АНБ. И исходники своим им дают.

Я даже занудничать не буду на тему фактов наличия/отсутствия бекдоров в продуктах MS/Oracle и т.д. - уже не интересно.

Конечно. Давай закроем столь очевидную тему. Поскольку там есть автообновление и код небезопасной жопой писан (MS доказывает это фактами каждый день).

Сколько внешних компаний производит аудит кода open-source продуктов и где можно ознакомиться с результатами аудита?

RH, SUSE Inc, Canonical как минимум. При внедрении линукса в продакшен, особенно финансовый, проходит как минимум формальный аудит в нормальных организациях.

ktulhu666 ☆☆☆ ()
Ответ на: комментарий от ktulhu666

Это сканеры.

Я тебе именно поэтому и привёл. Всё по списку изучай.

Надо изучать подходы, методы, и инструменты вторжения которыми с вероятностью стремящейся к единице будут тебя атаковать.

А не уповать, что ты загуглишь хавтушку про снорт, запилишь конфиг и он за тебя всё сделает.

Не хочешь - скачай троян касперского.

Umberto ★☆ ()
Ответ на: комментарий от CaveRat

Собственно, да. Если у тебя нет дырявых сервисов, которые торчат наружу - особой пользы от IPS не будет.

А с чего ты взял, что внутреннее заражение не возможно? Переполнили буфер, и вуаля: уже внутри сети.

ktulhu666 ☆☆☆ ()
Ответ на: комментарий от Umberto

Надо изучать подходы, методы, и инструменты вторжения которыми с вероятностью стремящейся к единице будут тебя атаковать.

А ты думал, что я до текущего существования не знал о продуктах, о которых ты пишешь? Или я, по твоему, не знал, что нужно делать скан сети (и далеко не только на открытые порты смотреть). Или про выяснение векторов атак через ханипуты? Нессус юзал ни раз. И метасплойтом баловался.

ktulhu666 ☆☆☆ ()
Ответ на: комментарий от ktulhu666

Вообще-то достоверно известно, что они сливают инфу по незакрытым уязвимостям (возможно, что и не все закрывают) в АНБ. И исходники своим им дают.

Инфа по незакрытым уязвимостям != бекдор. Сюрприз?

Поскольку там есть автообновление и код небезопасной жопой писан (MS доказывает это фактами каждый день).

Что ты считаешь доказательством? Обнаружение уязвимостей?

RH, SUSE Inc, Canonical как минимум.

Все компании ангажированы и не могут считаться независимыми.

Кстати, забыл спросить сразу - а при чем тут вообще MS?

CaveRat ★★ ()
Ответ на: комментарий от ktulhu666

Сценарий заражения в студию. Чей буфер переполнили?

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Да, это отличное замечание. Надо выделить когда это уместно использовать.

Ещё момент. Я видел ложные срабатывания когда IDS блокировало легальные запросы. Как результат, приложение становилось неработоспособным. В общем, есть грабли.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

У нас просто возможности нет от них отказаться - комплаенс + у нас хостится 100500 заказчиков с самописными сервисами, всех проверять, что бы у них все было железное - нереально, сам понимаешь. Так что, выход один.

Так грабли везде есть. Ну и как настроишь, опять же.

IDS блокировало легальные запросы

Можем, таки IPS? IDS - это Intrusion Detect System, они ток мониторят и спамят в почту.

Просто IPS часто настраивают так, что даже просто неправильно сформированные пакеты (нарушение RFC на tcp) - уже повод для блокировки пакетов. Иногда бывает так, что трафик идет http, но по левому порту - тоже может лочить.

Обычно внедрение IPS идет в два/три этапа:

  • На span-порт, для набора статистики
  • in-line, но без блокировки - проверяем правила, смотрим, что бы все легальные сессии проходили
  • Ну и на боевую, с блокировкой. Но все-равно первые несколько недель стоит смотреть, что происходит и быть готовым оперативно все чинить.

PS Я сейчас говорю про хардверные решения.

CaveRat ★★ ()

Для веб-приложений рекомендую mod-security. Это конечно не совсем IPS/IDS в том виде в котором все привыкли его видеть, но своё дело он делает на отлично - видит, логирует, дропает, запрещает и т.д. Кстати не стоит забывать что многие IDS/IPS бессильны перед зашифрованным трафиком (тот же банальный HTTPS). Кулстори сами найдете.

FreeBSD ★★★ ()
Ответ на: комментарий от FreeBSD

Кривоват он как-то, мне показалось: mod_security Остановился на naxsi. Вроде, стабильнее работает.

Хотя то, что я выше написал, только к nginx относится, естественно.

generator ★★★ ()
Ответ на: комментарий от ktulhu666

аудит? нет, его проводят специалисты, по аудиту, обычно нанимаемые софт-фирмами, и аудит этот нацелен на получение определенной сертификации, например CCC. когда сертификация на дистр получена, клиент может ориентироваться на то какой уровень безопасности дает данная сертификация.

dyasny ★★★★★ ()
Ответ на: комментарий от ktulhu666

А тебе чья сертификация нужна? Наша или буржуйская?

CaveRat ★★ ()
Ответ на: комментарий от ktulhu666

все намного проще. например вам надо работать с Visa, для того чтоб они дали вам доступ к API они сами говорят какая сертификация у вас должна быть (там вроде PCI/DSS емнип, я не слишком много в это вдавался). Для федеральных и высокоуровневых безопасников, например, требуют обычно CCC. Все зависит от того что требуется делать в данном конкретном случае, и есть немало очень дорогих консультантов которые только этими сертификациями и аудитами занимаются

dyasny ★★★★★ ()
Ответ на: комментарий от ktulhu666

Наша сертификация по безопасности - это ФСТЭК и ФСБ. ФСБ занимается межсетевыми экранами и криптухой, IPS под это не ходит - там идет защищенность СВТ (средства вычислительной техники) и отсутствие НДВ (недекларированных возможностей) + функции защиты по ТУ, которое пишет заявитель. В сертификате пишут, в каких АС/ИСПДн могут применяться - чем меньше цифра, тем выше требования по защите. Подробнее смотри 17 и 21 приказ ФСТЭК.

CaveRat ★★ ()
Ответ на: комментарий от ktulhu666

Вражеская сертификация выполняется по другому принципу - ЕМНИП, там подтверждается соответствие определенному стандарту, который в Буржуинии - овердофига. Но могу и ошибаться.

CaveRat ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.